Compliance
A terceira e última parte do guia desenvolvido por agências norte-americanas é direcionada aos clientes de software
22/11/2022
|
A Cybersecurity and Infrastructure Security Agency (CISA), a National Security Agency (NSA), e o Office of the Director of National Intelligence (ODNI) divulgaram a última parte de um guia conjunto sobre a segurança da cadeia de valor de software. A orientação, criada pelo Enduring Security Framework (ESF), um grupo de trabalho transversal a vários setores focado na mitigação de riscos a infraestruturas críticas e na segurança nacional, fornece recomendações a developers, fornecedores e organizações sobre as melhores práticas de segurança da cadeia de valor de software. A primeira parte oferece recomendações a developers de software, a segunda parte visa fornecedores de software, e a terceira destina-se aos clientes de software. O documento detalha práticas que os clientes devem aplicar ao adquirir, implementar e utilizar software e fornece exemplos de cenários de ataque e mitigação. No que diz respeito à aquisição de software, as agências recomendam prestar atenção aos requisitos da organização, como atividades de Security and Supply Chain Risk Management (SCRM), fazer avaliações de produtos, incluindo a Software Bill of Materials (SBOM), e avaliar os fornecedores antes de estabelecer contratos. No que concerne a implementação de software, os clientes são aconselhados a examinar de forma minuciosa os produtos, realizando testes funcionais e validando os produtos de uma perspetiva de segurança, estabelecer um Configuration Control Board (CCB) encarregue do ciclo de vida do produto, garantir que o produto se integra com o ambiente existente e monitorizar as atualizações. As agências recomendam, também, que as organizações cuidem adequadamente dos produtos que atingiram o fim de vida ou que são descontinuados e que garantam a implementação de um programa de formação eficaz para novos produtos. Adicionalmente, os consumidores de software são aconselhados a tomar atenção à forma como os produtos são operados para garantir que as vulnerabilidades e mudanças de funcionalidades são identificadas, que as atualizações são aplicadas em tempo útil e que o software malicioso é eliminado antes de prejudicar a organização. |
Receba todas as novidades na sua caixa de correio!
EXPERT
NIS2, DORA e AI: a cibersegurança e os (próximos) desafios estratégicos da nova regulação
NEWS
CNCS lança referencial de comunicação de risco e crise
BLUE TEAM
Warpcom assume compromisso junto de clientes com soluções alinhadas com a transformação digital e a cibersegurança
ANALYSIS
Divulgados mais de 54 mil milhões de cookies
NEWS
CISA lança sistema de análise de malware de última geração para uso público
COMPLIANCE
Lei do Cibercrime: no compasso das ameaças digitais
COMPLIANCE
Google prepara-se para destruir milhões de dados recolhidos em navegação anónima
COMPLIANCE
Parlamento Europeu aprova lei sobre inteligência artificial
COMPLIANCE
Google paga 350 milhões após data leak
COMPLIANCE
Cyber Resilience Act: da cooperação europeia ao risco de exposição
